Fail2ban
Fail2ban tutkii loki tiedostoja ja estää IP-osoitteita muodostamassa yhteyttä. Esimerkikiksi kirjautumisen virheyritykset SSH yhteydellä tärkeää.
Asentamienn
aptitude install fail2ban
TAI
apt-get install fail2ban
Konfigurointi
Avaan /etc/fail2ban/jail.conf
nano /etc/fail2ban/jail.conf
Oletus asetuksia:
ignoreip = IP-osoitteita jotka ohittava suodattimet
bantime = Aika, kuinka kauan säilytetään estolistalla
maxretry = Kuinka monta yritystä, ennen kuin estetään
Esimerkki konfiguroinnista:
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host ignoreip = 127.0.0.1 192.168.1.1 bantime = 600 maxretry = 3 # "backend" specifies the backend used to get files modification. Available # options are "gamin", "polling" and "auto
Eli jätetään estolistan ulkopuolelle IP-osoitteet 192.168.1.1 ja 172.0.0.1 (=localhost). Enintään 3 yritystä sallitaan ja jos ylittyy niin 600 sekunniksi estolistalle.
Muista vain käynnistää fail2ban uudelleen lopuksi:
service fail2ban restart
Lokien tyhjennys
Fail2ban tarkistaa estolistan fail2ban lokista, joka on polussa /var/log/fail2ban.log
nano /var/log/fail2ban.log
Tiedostossa näkyy kaikki lokit ja poistamalla rivin, poistat myös eston
Esimerkki loki:
2014-05-13 15:52:30,388 fail2ban.actions: WARNING [sendmail] Ban XXX.66.82.116 2014-05-13 15:59:29,295 fail2ban.actions: WARNING [sendmail] Ban XXX.27.118.100 2014-05-13 16:07:31,183 fail2ban.actions: WARNING [sendmail] Unban XXX.66.82.116 2014-05-13 16:14:29,530 fail2ban.actions: WARNING [sendmail] Unban XXX.27.118.100 2014-05-13 16:56:27,086 fail2ban.actions: WARNING [ssh] Ban XXX.136.60.164 2014-05-13 17:11:27,833 fail2ban.actions: WARNING [ssh] Unban XXX.136.60.164